


<!doctype html>
<html lang="zh" class="no-js">
  <head>
    
      <meta charset="utf-8">
      <meta name="viewport" content="width=device-width,initial-scale=1">
      
      
      
      <link rel="shortcut icon" href="../assets/favicon.ico">
      <meta name="generator" content="mkdocs-1.1.2, mkdocs-material-5.5.0">
    
    
      
        <title>🎖️ 蓝队资源大合集</title>
      
    
    
      <link rel="stylesheet" href="../assets/stylesheets/main.b5d04df8.min.css">
      
        <link rel="stylesheet" href="../assets/stylesheets/palette.9ab2c1f8.min.css">
      
      
        
        
        <meta name="theme-color" content="">
      
    
    
    
      
        <link href="https://fonts.gstatic.com" rel="preconnect" crossorigin>
        <link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Roboto:300,400,400i,700%7CRoboto+Mono&display=fallback">
        <style>body,input{font-family:"Roboto",-apple-system,BlinkMacSystemFont,Helvetica,Arial,sans-serif}code,kbd,pre{font-family:"Roboto Mono",SFMono-Regular,Consolas,Menlo,monospace}</style>
      
    
    
    
    
      
    
    
  </head>
  
  
    
    
    
    <body dir="ltr" data-md-color-scheme="" data-md-color-primary="white" data-md-color-accent="red">
  
    
    <input class="md-toggle" data-md-toggle="drawer" type="checkbox" id="__drawer" autocomplete="off">
    <input class="md-toggle" data-md-toggle="search" type="checkbox" id="__search" autocomplete="off">
    <label class="md-overlay" for="__drawer"></label>
    <div data-md-component="skip">
      
        
        <a href="#awesome-cybersecurity-blue-team-cn" class="md-skip">
          跳转至
        </a>
      
    </div>
    <div data-md-component="announce">
      
    </div>
    
      <header class="md-header" data-md-component="header">
  <nav class="md-header-nav md-grid" aria-label="Header">
    <a href=".." title="攻防对抗·蓝队清单" class="md-header-nav__button md-logo" aria-label="攻防对抗·蓝队清单">
      
  <img src="../assets/logo_white.png" alt="logo">

    </a>
    <label class="md-header-nav__button md-icon" for="__drawer">
      <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M3 6h18v2H3V6m0 5h18v2H3v-2m0 5h18v2H3v-2z"/></svg>
    </label>
    <div class="md-header-nav__title" data-md-component="header-title">
      
        <div class="md-header-nav__ellipsis">
          <span class="md-header-nav__topic md-ellipsis">
            攻防对抗·蓝队清单
          </span>
          <span class="md-header-nav__topic md-ellipsis">
            
              🎖️ 蓝队资源大合集
            
          </span>
        </div>
      
    </div>
    
      <label class="md-header-nav__button md-icon" for="__search">
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M9.5 3A6.5 6.5 0 0116 9.5c0 1.61-.59 3.09-1.56 4.23l.27.27h.79l5 5-1.5 1.5-5-5v-.79l-.27-.27A6.516 6.516 0 019.5 16 6.5 6.5 0 013 9.5 6.5 6.5 0 019.5 3m0 2C7 5 5 7 5 9.5S7 14 9.5 14 14 12 14 9.5 12 5 9.5 5z"/></svg>
      </label>
      
<div class="md-search" data-md-component="search" role="dialog">
  <label class="md-search__overlay" for="__search"></label>
  <div class="md-search__inner" role="search">
    <form class="md-search__form" name="search">
      <input type="text" class="md-search__input" name="query" aria-label="搜索" placeholder="搜索" autocapitalize="off" autocorrect="off" autocomplete="off" spellcheck="false" data-md-component="search-query" data-md-state="active">
      <label class="md-search__icon md-icon" for="__search">
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M9.5 3A6.5 6.5 0 0116 9.5c0 1.61-.59 3.09-1.56 4.23l.27.27h.79l5 5-1.5 1.5-5-5v-.79l-.27-.27A6.516 6.516 0 019.5 16 6.5 6.5 0 013 9.5 6.5 6.5 0 019.5 3m0 2C7 5 5 7 5 9.5S7 14 9.5 14 14 12 14 9.5 12 5 9.5 5z"/></svg>
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M20 11v2H8l5.5 5.5-1.42 1.42L4.16 12l7.92-7.92L13.5 5.5 8 11h12z"/></svg>
      </label>
      <button type="reset" class="md-search__icon md-icon" aria-label="Clear" data-md-component="search-reset" tabindex="-1">
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M19 6.41L17.59 5 12 10.59 6.41 5 5 6.41 10.59 12 5 17.59 6.41 19 12 13.41 17.59 19 19 17.59 13.41 12 19 6.41z"/></svg>
      </button>
    </form>
    <div class="md-search__output">
      <div class="md-search__scrollwrap" data-md-scrollfix>
        <div class="md-search-result" data-md-component="search-result">
          <div class="md-search-result__meta">
            Initializing search
          </div>
          <ol class="md-search-result__list"></ol>
        </div>
      </div>
    </div>
  </div>
</div>
    
    
  </nav>
</header>
    
    <div class="md-container" data-md-component="container">
      
        
      
      
        
      
      <main class="md-main" data-md-component="main">
        <div class="md-main__inner md-grid">
          
            
              <div class="md-sidebar md-sidebar--primary" data-md-component="navigation">
                <div class="md-sidebar__scrollwrap">
                  <div class="md-sidebar__inner">
                    <nav class="md-nav md-nav--primary" aria-label="Navigation" data-md-level="0">
  <label class="md-nav__title" for="__drawer">
    <a href=".." title="攻防对抗·蓝队清单" class="md-nav__button md-logo" aria-label="攻防对抗·蓝队清单">
      
  <img src="../assets/logo_white.png" alt="logo">

    </a>
    攻防对抗·蓝队清单
  </label>
  
  <ul class="md-nav__list" data-md-scrollfix>
    
      
      
      


  <li class="md-nav__item">
    <a href=".." title="index" class="md-nav__link">
      index
    </a>
  </li>

    
      
      
      

  


  <li class="md-nav__item md-nav__item--active">
    
    <input class="md-nav__toggle md-toggle" data-md-toggle="toc" type="checkbox" id="__toc">
    
      
    
    
      <label class="md-nav__link md-nav__link--active" for="__toc">
        🎖️ 蓝队资源大合集
        <span class="md-nav__icon md-icon">
          <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M3 9h14V7H3v2m0 4h14v-2H3v2m0 4h14v-2H3v2m16 0h2v-2h-2v2m0-10v2h2V7h-2m0 6h2v-2h-2v2z"/></svg>
        </span>
      </label>
    
    <a href="./" title="🎖️ 蓝队资源大合集" class="md-nav__link md-nav__link--active">
      🎖️ 蓝队资源大合集
    </a>
    
      
<nav class="md-nav md-nav--secondary" aria-label="目录">
  
  
    
  
  
    <label class="md-nav__title" for="__toc">
      <span class="md-nav__icon md-icon">
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M20 11v2H8l5.5 5.5-1.42 1.42L4.16 12l7.92-7.92L13.5 5.5 8 11h12z"/></svg>
      </span>
      目录
    </label>
    <ul class="md-nav__list" data-md-scrollfix>
      
        <li class="md-nav__item">
  <a href="#_1" class="md-nav__link">
    🧾目录
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_2" class="md-nav__link">
    自动化工具
  </a>
  
    <nav class="md-nav" aria-label="自动化工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_3" class="md-nav__link">
    零碎的
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_4" class="md-nav__link">
    代码库和绑定
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_5" class="md-nav__link">
    安全编排自动化与响应
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_6" class="md-nav__link">
    云平台安全
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_7" class="md-nav__link">
    通讯安全
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#devsecops" class="md-nav__link">
    DevSecOps
  </a>
  
    <nav class="md-nav" aria-label="DevSecOps">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_8" class="md-nav__link">
    应用或二进制加固
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#fuzzing" class="md-nav__link">
    模糊测试（Fuzzing）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_9" class="md-nav__link">
    策略执行
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_10" class="md-nav__link">
    蜜罐
  </a>
  
    <nav class="md-nav" aria-label="蜜罐">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#tarpits" class="md-nav__link">
    Tarpits
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_11" class="md-nav__link">
    主机防护工具
  </a>
  
    <nav class="md-nav" aria-label="主机防护工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_12" class="md-nav__link">
    沙箱
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_13" class="md-nav__link">
    事件响应工具
  </a>
  
    <nav class="md-nav" aria-label="事件响应工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_14" class="md-nav__link">
    事件响应管理平台
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_15" class="md-nav__link">
    事件证据搜集（取证）
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_16" class="md-nav__link">
    网络外围防御
  </a>
  
    <nav class="md-nav" aria-label="网络外围防御">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_17" class="md-nav__link">
    防火墙设备或发行版
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_18" class="md-nav__link">
    操作系统发行版
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_19" class="md-nav__link">
    网络钓鱼意识和报告
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_20" class="md-nav__link">
    攻防演练
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_21" class="md-nav__link">
    安全监控
  </a>
  
    <nav class="md-nav" aria-label="安全监控">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#edr" class="md-nav__link">
    端点防护及响应（EDR）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#nsm" class="md-nav__link">
    网络安全监控（NSM）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#siem" class="md-nav__link">
    安全信息和事件管理（SIEM）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_22" class="md-nav__link">
    服务和性能监控
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_23" class="md-nav__link">
    威胁狩猎
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_24" class="md-nav__link">
    威胁情报
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#tor-onion" class="md-nav__link">
    Tor Onion服务防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_25" class="md-nav__link">
    传输层防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#macos" class="md-nav__link">
    基于macOS的防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#windows" class="md-nav__link">
    基于Windows的防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#license" class="md-nav__link">
    License
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#references" class="md-nav__link">
    References
  </a>
  
</li>
      
    </ul>
  
</nav>
    
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x2_threat_hunting/" title="🏹️ 威胁狩猎大合集" class="md-nav__link">
      🏹️ 威胁狩猎大合集
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x3_threat_intelligence/" title="✉️ 威胁情报大合集" class="md-nav__link">
      ✉️ 威胁情报大合集
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x4_incident_response/" title="🚑 应急响应大合集" class="md-nav__link">
      🚑 应急响应大合集
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x5_ioc_list/" title="🔍 威胁情报数据源" class="md-nav__link">
      🔍 威胁情报数据源
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x6_VMs/" title="💿 虚拟机&集成环境" class="md-nav__link">
      💿 虚拟机&集成环境
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x7_honeypots/" title="🍯 蜜罐" class="md-nav__link">
      🍯 蜜罐
    </a>
  </li>

    
      
      
      


  <li class="md-nav__item">
    <a href="../0x8_malware_analysis/" title="🦠 恶意软件分析" class="md-nav__link">
      🦠 恶意软件分析
    </a>
  </li>

    
  </ul>
</nav>
                  </div>
                </div>
              </div>
            
            
              <div class="md-sidebar md-sidebar--secondary" data-md-component="toc">
                <div class="md-sidebar__scrollwrap">
                  <div class="md-sidebar__inner">
                    
<nav class="md-nav md-nav--secondary" aria-label="目录">
  
  
    
  
  
    <label class="md-nav__title" for="__toc">
      <span class="md-nav__icon md-icon">
        <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M20 11v2H8l5.5 5.5-1.42 1.42L4.16 12l7.92-7.92L13.5 5.5 8 11h12z"/></svg>
      </span>
      目录
    </label>
    <ul class="md-nav__list" data-md-scrollfix>
      
        <li class="md-nav__item">
  <a href="#_1" class="md-nav__link">
    🧾目录
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_2" class="md-nav__link">
    自动化工具
  </a>
  
    <nav class="md-nav" aria-label="自动化工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_3" class="md-nav__link">
    零碎的
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_4" class="md-nav__link">
    代码库和绑定
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_5" class="md-nav__link">
    安全编排自动化与响应
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_6" class="md-nav__link">
    云平台安全
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_7" class="md-nav__link">
    通讯安全
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#devsecops" class="md-nav__link">
    DevSecOps
  </a>
  
    <nav class="md-nav" aria-label="DevSecOps">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_8" class="md-nav__link">
    应用或二进制加固
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#fuzzing" class="md-nav__link">
    模糊测试（Fuzzing）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_9" class="md-nav__link">
    策略执行
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_10" class="md-nav__link">
    蜜罐
  </a>
  
    <nav class="md-nav" aria-label="蜜罐">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#tarpits" class="md-nav__link">
    Tarpits
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_11" class="md-nav__link">
    主机防护工具
  </a>
  
    <nav class="md-nav" aria-label="主机防护工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_12" class="md-nav__link">
    沙箱
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_13" class="md-nav__link">
    事件响应工具
  </a>
  
    <nav class="md-nav" aria-label="事件响应工具">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_14" class="md-nav__link">
    事件响应管理平台
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_15" class="md-nav__link">
    事件证据搜集（取证）
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_16" class="md-nav__link">
    网络外围防御
  </a>
  
    <nav class="md-nav" aria-label="网络外围防御">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#_17" class="md-nav__link">
    防火墙设备或发行版
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_18" class="md-nav__link">
    操作系统发行版
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_19" class="md-nav__link">
    网络钓鱼意识和报告
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_20" class="md-nav__link">
    攻防演练
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_21" class="md-nav__link">
    安全监控
  </a>
  
    <nav class="md-nav" aria-label="安全监控">
      <ul class="md-nav__list">
        
          <li class="md-nav__item">
  <a href="#edr" class="md-nav__link">
    端点防护及响应（EDR）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#nsm" class="md-nav__link">
    网络安全监控（NSM）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#siem" class="md-nav__link">
    安全信息和事件管理（SIEM）
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_22" class="md-nav__link">
    服务和性能监控
  </a>
  
</li>
        
          <li class="md-nav__item">
  <a href="#_23" class="md-nav__link">
    威胁狩猎
  </a>
  
</li>
        
      </ul>
    </nav>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_24" class="md-nav__link">
    威胁情报
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#tor-onion" class="md-nav__link">
    Tor Onion服务防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#_25" class="md-nav__link">
    传输层防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#macos" class="md-nav__link">
    基于macOS的防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#windows" class="md-nav__link">
    基于Windows的防护
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#license" class="md-nav__link">
    License
  </a>
  
</li>
      
        <li class="md-nav__item">
  <a href="#references" class="md-nav__link">
    References
  </a>
  
</li>
      
    </ul>
  
</nav>
                  </div>
                </div>
              </div>
            
          
          <div class="md-content">
            <article class="md-content__inner md-typeset">
              
                
                
                  
                
                
                <h1 id="awesome-cybersecurity-blue-team-cn">Awesome Cybersecurity Blue Team - CN<a href="https://awesome.re"><img alt="Awesome" src="https://awesome.re/badge-flat2.svg" /></a></h1>
<blockquote>
<p>攻防对抗 · 蓝队清单，中文版</p>
</blockquote>
<p>本项目基于<a href="https://github.com/fabacab/awesome-cybersecurity-blueteam">awesome-cybersecurity-blueteam</a>，经过蹩脚的翻译和一些补充，<strong>旨在帮助以中文为母语的安全研究者更好地了解蓝队工作，以及便利地找寻蓝队工具</strong>。</p>
<p>非常感谢原作者的整理，对于我这个蓝队的入门学习者来说，帮助非常大。也希望自己的一点点工作能帮助到你，一起来玩吧！</p>
<blockquote>
<p>在网络安全蓝队方向的一些很酷的资源、工具和一些小玩意～</p>
<p>网络安全·蓝队，是由一群能够识别信息技术系统中安全缺陷的人组成。他们能够验证安全防护措施的有效性，并且能持续监控系统并确保已采用的安全防御措施。 </p>
<p>尽管没有偏见，但这个列表更倾向于<a href="https://www.gnu.org/philosophy/free-sw.html">自由软件</a>项目，而不是商业的产品和服务。 </p>
<p>关于攻防对抗的TTPs（战术、技术和过程），请查看这个项目：<a href="https://github.com/fabacab/awesome-pentest">awesome-pentest</a>.  </p>
<p>你的贡献和建议十分重要，欢迎来参与(✿◕‿◕)。请查看<a href="CONTRIBUTING.md">贡献准则</a>来获取更多的信息。本项目是在<a href="http://creativecommons.org/licenses/by/4.0/">Creative Commons Attribution 4.0 International License</a>许可下进行的。</p>
</blockquote>
<h2 id="_1">🧾目录</h2>
<ul>
<li><a href="#_2">自动化工具</a><ul>
<li><a href="#_3">零碎的</a></li>
<li><a href="#_4">代码库和绑定</a></li>
<li><a href="#_5">安全编排自动化与响应</a></li>
</ul>
</li>
<li><a href="#_6">云平台安全</a></li>
<li><a href="#_7">通讯安全</a></li>
<li><a href="#devsecops">DevSecOps</a><ul>
<li><a href="#_8">应用或二进制加固</a></li>
<li><a href="#fuzzing">模糊测试</a></li>
<li><a href="#_9">策略执行</a></li>
</ul>
</li>
<li><a href="#_10">蜜罐</a><ul>
<li><a href="#tarpits">Tarpits</a></li>
</ul>
</li>
<li><a href="#_11">主机防护工具</a><ul>
<li><a href="#_12">沙箱</a></li>
</ul>
</li>
<li><a href="#_13">事件响应工具</a><ul>
<li><a href="#_14">事件响应管理平台</a></li>
<li><a href="#_15">事件证据搜集（取证）</a></li>
</ul>
</li>
<li><a href="#_16">网络外围防御</a><ul>
<li><a href="#_17">防火墙设备或发行版</a></li>
<li><a href="#_18">操作系统发行版</a></li>
<li><a href="#_19">网络钓鱼意识和报告</a></li>
</ul>
</li>
<li><a href="#_20">攻防演练</a></li>
<li><a href="#_21">安全监控</a><ul>
<li><a href="#edr">端点防护及响应（EDR）</a></li>
<li><a href="#nsm">网络安全监控（NSM）</a></li>
<li><a href="#siem">安全信息和事件管理（SIEM）</a></li>
<li><a href="#_22">服务和性能监控</a></li>
<li><a href="#_23">威胁狩猎</a></li>
</ul>
</li>
<li><a href="#_24">威胁情报</a></li>
<li><a href="#tor-onion">Tor Onion服务防护</a></li>
<li><a href="#_25">传输层防护</a></li>
<li><a href="#macos">基于macOS的防护</a></li>
<li><a href="#windows">基于Windows的防护</a></li>
<li><a href="#license">License</a></li>
<li><a href="#references">References</a></li>
</ul>
<h2 id="_2">自动化工具</h2>
<h3 id="_3">零碎的</h3>
<ul>
<li><a href="https://ansiblelockdown.io/">Ansible Lockdown</a> - 一个以信息安全为主题的Ansible（运维工具）规则集合。经过精心地审核，并且维护积极</li>
<li><a href="https://github.com/latchset/clevis">Clevis</a> - 一个对于自动解密的可插拔式工具，经常被用做<a href="https://github.com/latchset/tang">Tang</a>客户端</li>
<li><a href="https://github.com/USArmyResearchLab/Dshell">DShell</a> - 一个用Python编写的网络取证分析框架，支持扩展，可快速开发插件来分析捕获的网络数据包</li>
<li><a href="https://dev-sec.io/">Dev-Sec.io</a> - 一个服务器增强框架，提供各种基准安全配置的Ansible，Chef和Puppet实现</li>
<li><a href="https://eternal-todo.com/tools/peepdf-pdf-analysis-tool">peepdf</a> - 一个支持脚本编写的PDF文件分析器</li>
</ul>
<h3 id="_4">代码库和绑定</h3>
<ul>
<li><a href="https://github.com/mitre/multiscanner">MultiScanner</a> - 一个使用Python编写的文件分析框架，支持自动运行相关的工具，汇总输出帮助评估一组带分析的文件</li>
<li><a href="https://github.com/darkoperator/Posh-VirusTotal">Posh-VirusTotal</a> - 一个可与VirusTotal.com的API进行交互的PowerShell接口</li>
<li><a href="https://github.com/censys/censys-python">censys-python</a> - 对Censys REST API的Python轻量级封装</li>
<li><a href="https://github.com/pellegre/libcrafter">libcrafter</a> - 一个c++的高级库，用于创建和解码网络数据包</li>
<li><a href="https://github.com/rshipp/python-dshield">python-dshield</a> - 连接SANS ISC/DShiel API的Python接口<ul>
<li>补充：SANS ISC是一个全球性的安全事件响应组织，为所有的Internet用户和组织提供免费的互联网攻击分析和预警服务</li>
</ul>
</li>
<li><a href="https://github.com/InQuest/python-sandboxapi">python-sandboxapi</a> - 用于构建恶意软件沙箱集成的最小型、并且长期有效的的Python API</li>
<li><a href="https://github.com/oasis-open/cti-python-stix2">python-stix2</a> - 用于序列化和反序列化STIX（JSON形式）的Python API，以及一些用于常见任务的高级API<ul>
<li>补充：STIX是用来交换威胁情报的一种语言和序列化格式，由MITRE联合DHS（美国国土安全部）发布</li>
</ul>
</li>
</ul>
<h3 id="_5">安全编排自动化与响应</h3>
<p>SOAR, Security Orchestration, Automation and Response, 安全编排自动化与响应。</p>
<p>另行查阅<a href="#security-information-and-event-management-siem">Security Information and Event Management (SIEM)</a>和<a href="#ir-management-consoles">IR management consoles</a>.</p>
<ul>
<li>
<p><a href="https://shuffler.io/">Shuffle</a> - 用于IT专家和蓝队成员的图形化工作流（自动化）生成器</p>
</li>
<li>
<p><a href="https://github.com/zbnio/zbn">ZBN SOAR</a> - 是一款安全编排与自动化响应平台，将安全产品以及安全流程链接整合起来，通过预定义的工作流（Workflow）和剧本（Playbook）来标准化事故的调查处置流程，提升威胁响应的自动化程度和执行效率。</p>
</li>
</ul>
<h2 id="_6">云平台安全</h2>
<p>另请参阅：<a href="https://asecure.cloud/tools/">asecure.cloud/tools</a>.</p>
<ul>
<li><a href="https://www.checkov.io/">Checkov</a> - 对于Terraform（在DevOps实践中，代码即基础设施概念）的静态分析器。可以帮助检测CIS策略违规行为，并防止云安全策略配置错误<ul>
<li>补充：Terraform是一种安全有效地构建、更改和版本控制基础设施的工具(基础架构自动化的编排工具)[1]</li>
<li>补充：<a href="https://www.cisecurity.org/cis-benchmarks/">CIS</a>基准是安全配置系统的配置基线和最佳做法[2]</li>
</ul>
</li>
<li><a href="https://falco.org/">Falco</a> - 行为活动监视器，旨在通过审核Linux内核和运行时数据（例如Kubernetes指标）进行拓展和丰富，以检测容器化的应用程序，以及主机和网络数据包流中的异常活动</li>
<li><a href="https://istio.io/">Istio</a> - 提供统一的方式的开放平台，可以集成微服务，管理跨微服务的流量，执行策略和汇总遥测数据</li>
<li><a href="https://katacontainers.io/">Kata Containers</a> - 使用轻量级虚拟机来保护容器的运行时，这些虚拟机的情况和性能类似于容器，但是使用硬件虚拟化技术作为第二层防御，可以提供更强的工作负载隔离</li>
<li><a href="https://github.com/darkbitio/mkit">Managed Kubernetes Inspection Tool (MKIT)</a> - 可提供查询和验证托管Kubernetes群集对象以及群集内运行的工作负载/资源的几种与安全性相关的常见设置</li>
<li><a href="https://github.com/toniblyx/prowler">Prowler</a> - 基于AWS-CLI命令的工具，用于Amazon Web Services帐户安全性评估和增强</li>
<li><a href="https://github.com/nccgroup/ScoutSuite">Scout Suite</a> - 开源的多云安全审核工具，可用于评估云环境的安全状态<ul>
<li>补充：Muticloud，多云，是指在单个异构架构中使用多个<a href="https://en.wikipedia.org/wiki/Cloud_computing">云计算</a>和<a href="https://en.wikipedia.org/wiki/Cloud_storage">存储</a>服务</li>
</ul>
</li>
<li><a href="https://github.com/google/gvisor">gVisor</a> - 用Go编写的应用程序内核，它实现Linux系统表面的很大一部分，用以在应用程序和主机内核之间提供隔离边界</li>
</ul>
<h2 id="_7">通讯安全</h2>
<p>COMSEC, Communications Security, 通讯安全</p>
<ul>
<li><a href="https://github.com/firstlookmedia/gpgsync">GPG Sync</a> - 用于在组织和团队中进行自动化OpenPGP公钥集成和分发。</li>
</ul>
<h2 id="devsecops">DevSecOps</h2>
<p>另请参阅：<a href="https://github.com/devsecops/awesome-devsecops">awesome-devsecops</a></p>
<p>补充：DevOps旨在加强开发人员，IT运营和安全性之间的关系。</p>
<ul>
<li><a href="https://github.com/StackExchange/blackbox">BlackBox</a> - 通过GnuPG技术安全地保存Git/Mercurial/Subversion的密钥，该过程可在空闲时进行</li>
<li><a href="https://cilium.io/">Cilium</a> - 开源软件，用于透明地保护应用服务和Linux容器化管理平台（e.g. Docker, Kubernetes）之间的网络连接安全<ul>
<li>透明是指，Cilium 是位于 Linux kernel 与容器编排系统的中间层。向上可以为容器配置网络，向下可以向 Linux 内核生成 BPF 程序来控制容器的安全性和转发行为</li>
</ul>
</li>
<li><a href="https://github.com/coreos/clair">Clair</a> - 静态分析工具，用于探测应用容器镜像（e.g. Docker）中的漏洞</li>
<li><a href="https://securitylab.github.com/tools/codeql">CodeQL</a> - 通过对代码进行查询，就像发现数据一样，从而发现整个代码库中的漏洞</li>
<li><a href="https://www.defectdojo.org/">DefectDojo</a> - 为DevOps和可持续的安全集成而生的应用程序漏洞管理工具</li>
<li><a href="http://gauntlt.org/">Gauntlt</a> - 用于应用在测试和通讯中进行安全性的渗透测试</li>
<li><a href="https://github.com/awslabs/git-secrets">Git Secrets</a> - 用于防止用户提交密码或其他的敏感信息到Git仓库</li>
<li><a href="https://www.vaultproject.io/">Vault</a> - 用于通过统一的界面安全访问密钥（例如API密钥，密码或证书）的工具</li>
<li><a href="https://www.agwa.name/projects/git-crypt/">git-crypt</a> - 同样用于防止用户将密钥提交到Git仓库。其中，选择保护的文件在提交时会加密，在签出时会解密</li>
<li><a href="https://snyk.io/">Snyk</a> - 用于查找并修复开源依赖项和容器映像中的漏洞和许可证违规信息</li>
<li><a href="https://sonarqube.org">SonarQube</a> - 持续性代码检查工具，可在自动测试期间提供详细的报告，并就新引入的安全漏洞提供警告</li>
</ul>
<h3 id="_8">应用或二进制加固</h3>
<ul>
<li><a href="https://egalito.org/">Egalito</a> - 是一个二进制反编译器，可以完全反汇编、转换和重新生成用于二进制强化和安全性研究的普通Linux二进制文件。</li>
</ul>
<h3 id="fuzzing">模糊测试（Fuzzing）</h3>
<p>另请参阅： <a href="https://github.com/secfigo/Awesome-Fuzzing">Awesome-Fuzzing</a>.</p>
<ul>
<li><a href="https://google.github.io/fuzzbench/">FuzzBench</a> -  用于根据Google规模的各种实际基准来评估模糊测试器的一项免费服务</li>
</ul>
<h3 id="_9">策略执行</h3>
<ul>
<li><a href="https://www.openpolicyagent.org/">OpenPolicyAgent</a>  - 用于跨云原生环境进行统一策略控制的一套工具集和框架</li>
<li><a href="https://github.com/latchset/tang">Tang</a> - 用于将数据绑定到网络状态的服务器。只有当客户端位于特定的（安全的）网络上时才向客户端提供数据</li>
</ul>
<h2 id="_10">蜜罐</h2>
<p>另请参阅：<a href="https://github.com/paralax/awesome-honeypots">awesome-honeypots</a>.</p>
<ul>
<li><a href="https://github.com/thinkst/canarytokens">CanaryTokens</a> - 可以自承载的Honey Token生成器及报告模版，演示版本可查看：<a href="https://canarytokens.org/">CanaryTokens.org</a>.<ul>
<li>补充，Honey Token：对蜜罐概念的一种发展，是一种数字化的实体，使得蜜罐不再局限于硬件设备。任何黑客感兴趣信息的伪造都可成为蜜罐[3]。例如，一串银行卡密码、一个名为“财务报表”的Excel表格等</li>
</ul>
</li>
<li><a href="https://kushtaka.org">Kushtaka</a> - 可持续的多合一蜜罐和honey token编排器，用于资源不丰富的蓝队</li>
</ul>
<h3 id="tarpits">Tarpits</h3>
<p>补充：Tarpit(Tar pit, 焦油坑)概念为低于计算器蠕虫而生。核心思路是：对于网络攻击（例如扫描器和密码爆破工具）来说，如果其总共消耗的时间过长，那么对于攻击者来说，这些系统的吸引力也会降低。</p>
<p>其实这也是从攻防成本的角度出发，攻防对抗的本质是成本的对抗，利用该类型的蜜罐技术，可以增加攻击者的时间成本，从而丧失行动力。</p>
<p>从攻防对抗的角度出发，攻击者如果需要更多的时间去进行攻击，那么防守方也拥有了更多的时间去处理攻击。</p>
<p>这种概念类似焦油坑，陷入其中的东西会缓慢地沉入，让对方失去行动力，因此被称为Tarpit(Tar pit, 焦油坑)。</p>
<ul>
<li>
<p><a href="https://github.com/skeeto/endlessh">Endlessh</a> - 一种SSH tarpit，可以缓慢地发送无休止的SSH banner</p>
<ul>
<li>补充，SSH Banner：即SSH警告横幅，在使用SSH进行交互式会话期间，登录前SSH警告横幅会显示在密码提示之前[4]，一些法律警告和相关条款</li>
<li><a href="http://labrea.sourceforge.net/labrea-info.html">LaBrea</a> - 一种响应ARP请求中未使用的IP空间的程序，其伪造机器的外表，非常缓慢地响应其他请求，从而达到减慢扫描程序，蠕虫等速度的目的</li>
</ul>
</li>
</ul>
<h2 id="_11">主机防护工具</h2>
<ul>
<li><a href="https://github.com/BinaryDefense/artillery">Artillery</a> - 一套结合了蜜罐，文件系统监视器和警报系统的工具，旨在保护Linux和Windows操作系统</li>
<li><a href="http://chkrootkit.org/">chkrootkit</a> - 用于在GNU / Linux系统上本地检查rootkit的迹象<ul>
<li>补充，Rootkit：常指被作为驱动程序，加载到操作系统内核中的恶意软件</li>
</ul>
</li>
<li><a href="https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/">Crowd Inspect</a> - 针对Windows系统，用于提醒可能存在的、通过网络进行通信的恶意软件的工具</li>
<li><a href="https://www.fail2ban.org/">Fail2ban</a> - 入侵防御软件框架，可保护计算机服务器免遭暴力攻击</li>
<li><a href="https://www.open-scap.org/tools/openscap-base/">OpenSCAP Base</a> - 即代表库又代表命令行（扫描）工具，可用于解析和评估<a href="https://www.open-scap.org/features/standards/">SCAP标准的</a>每个组件，即根据SCAP基线配置文件来评估系统，从而报告被扫描系统的安全状态</li>
<li><a href="https://www.ossec.net/">Open Source HIDS SECurity (OSSEC)</a> - 完全开源、免费的，功能丰富的基于主机的入侵检测系统（HIDS）</li>
<li><a href="http://rkhunter.sourceforge.net/">Rootkit Hunter (rkhunter)</a> - 该工具兼容POSIX的Bash脚本，用以扫描主机来查找各种恶意软件迹象</li>
</ul>
<h3 id="_12">沙箱</h3>
<ul>
<li><a href="https://firejail.wordpress.com/">Firejail</a> - SUID程序，使用Linux命名空间和seccomp-bpf来限制不受信任的应用程序的运行环境，从而降低安全漏洞的风险<ul>
<li>补充，Linux命名空间：是Linux内核的一项功能，它对内核资源进行分区，以使一组进程看到一组资源，而另一组进程看到另一组资源</li>
<li>补充，seccomp-bpf<ul>
<li>先介绍即seccomp，是Linux的一种安全机制，通过限制程序使用某些系统调用，减少系统的暴露面，使得程序进入一种“安全”的状态</li>
<li>再来说说BPF，BPF全称是Berkeley Packet Filter。目的是为了提供一种过滤包的方法，并且要避免从内核空间到用户空间的无用的数据包复制行为</li>
<li>所以，seccomp-bpf即采用了BPF方法对syscall进行过滤的seccomp。seccomp在过滤syscall的时候，借助了BPF定义的过滤规则，以及处于内核的用BPF language写的mini-program</li>
</ul>
</li>
</ul>
</li>
</ul>
<h2 id="_13">事件响应工具</h2>
<p>另请参阅：<a href="https://github.com/meirwah/awesome-incident-response">awesome-incident-response</a>.</p>
<ul>
<li><a href="https://github.com/JPCERTCC/LogonTracer">LogonTracer</a> - 可用于可视化分析Windows事件日志来调查恶意的Windows登录</li>
<li><a href="https://www.volatilityfoundation.org/">Volatility</a> - 一套先进的内存取证框架</li>
<li><a href="https://github.com/ThreatResponse/aws_ir">aws_ir</a> - 通过零信任安全假设来自动化执行事件响应的工具<ul>
<li>补充，零安全：本质是以身份为基石的动态访问控制，即以身份为基础，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的身份边界[5]</li>
</ul>
</li>
</ul>
<h3 id="_14">事件响应管理平台</h3>
<p>Incident Response management consoles，事件响应管理平台</p>
<p>另请参阅 <a href="#安全编排自动化与响应">Security Orchestration, Automation, and Response (SOAR)</a>.</p>
<ul>
<li><a href="https://github.com/opensourcesec/CIRTKit">CIRTKit</a> - 基于Viper构建的、可编写脚本的数字取证和事件响应（Digital Forensics and Incident Response, DFIR）工具包</li>
<li><a href="https://github.com/certsocietegenerale/FIR">Fast Incident Response (FIR)</a> - 一个网络安全事件管理平台，可以轻松创建，跟踪和报告网络安全事件</li>
<li><a href="http://www.rekall-forensic.com/">Rekall</a> - 一个先进的取证及事件响应的框架</li>
<li><a href="https://thehive-project.org/">TheHive</a> - 可扩展的免费安全事件响应平台，旨在<a href="https://thehive-project.org/">简化</a>与SoC，CSIRT和<a href="https://thehive-project.org/">CERT的交互</a>，并与MISP紧密集成。<ul>
<li>补充<ul>
<li>SoC：Security operations center，安全管理/运营中心</li>
<li>CSIRT：Computer Security Incident Response Team，计算机安全入侵事件响应小组，偏溯源</li>
<li>CERT：Computer Emergency Response Team，计算机应急响应中心/小组，偏指挥</li>
<li>MISP：Malware Information Sharing Platform，威胁情报共享平台，偏情报</li>
</ul>
</li>
</ul>
</li>
<li><a href="https://github.com/defpoint/threat_note">threat_note</a> - 用于方便安全研究人员添加和检索与他们自己研究的相关指标，是一个由<a href="https://www.crunchbase.com/organization/defense-point-security">Defence Point Security</a>（一个美国的网络安全公司）构建的Web应用程序<ul>
<li>注：简单讲，这个平台目前实现的功能是一个便于添加攻击者向量（IoC）的一个笔记应用</li>
</ul>
</li>
</ul>
<h3 id="_15">事件证据搜集（取证）</h3>
<ul>
<li><a href="https://github.com/CrowdStrike/automactc">AutoMacTC</a> - 一个模块化的自动取证分类收集框架，旨在访问macOS上的各种取证工件，进行解析，并以可用的格式化形式展现。</li>
<li><a href="https://github.com/jipegit/OSXAuditor">OSXAuditor</a> - 一个免费的macOS计算机取证工具</li>
<li><a href="https://github.com/Yelp/osxcollector">OSXCollector</a> - 适用于macOS的证据收集和分析工具包</li>
<li><a href="https://github.com/diogo-fernan/ir-rescue">ir-rescue</a> - 用于在事件响应期间全面收集主机取证数据的脚本（包括Windows Batch脚本和Unix Bash脚本）</li>
<li><a href="https://github.com/ThreatResponse/margaritashotgun">Margarita Shotgun</a> - 命令行工具，用于并行的远程内存获取，可自由选择是否与Amazon EC2实例一起使用</li>
</ul>
<h2 id="_16">网络外围防御</h2>
<p>Network perimeter defenses</p>
<ul>
<li><a href="https://github.com/AltraMayor/gatekeeper">Gatekeeper</a> - 第一个开源的、用于分布式拒绝服务（DDoS）保护的系统</li>
<li><a href="https://www.cipherdyne.org/fwknop/">fwknop</a> - 通过防火墙中的单包授权保护端口<ul>
<li>补充，单包授权：Single Packet Authorization，SPA。SPA将单个数据包经过加密，不可重放，并通过HMAC进行身份验证，以便在传达到隐藏在防火墙后面的服务[6]</li>
</ul>
</li>
<li><a href="https://github.com/jtesta/ssh-audit">ssh-audit</a> - 用于快速提出建议来改善SSH服务器安全状况的一个简易工具</li>
</ul>
<h3 id="_17">防火墙设备或发行版</h3>
<ul>
<li><a href="https://opnsense.org/">OPNsense</a> - 一个基于FreeBSD的防火墙和路由平台</li>
<li><a href="https://www.pfsense.org/">pfSense</a> - 用于防火墙和路由器的FreeBSD发行版</li>
</ul>
<h3 id="_18">操作系统发行版</h3>
<ul>
<li><a href="https://caine-live.net/">Computer Aided Investigative Environment (CAINE)</a> - 意大利的GNU / Linux发行版，预先打包了许多用于数字取证和证据收集的工具</li>
<li><a href="https://securityonion.net/">Security Onion</a> - 免费和开源GNU / Linux发行版，用于入侵检测，企业安全监视和日志管理</li>
</ul>
<h3 id="_19">网络钓鱼意识和报告</h3>
<p>另请参阅<a href="https://github.com/fabacab/awesome-pentest#social-engineering-tools">awesome-pentest § Social Engineering Tools</a></p>
<ul>
<li><a href="https://github.com/SSLMate/certspotter">CertSpotter</a> - 来自SSLMate的证书透明日志监视器，当你的某个域被颁发SSL/TLS证书时，该监视器会发出警报</li>
<li><a href="https://getgophish.com/">Gophish</a> - 强大的开源网络钓鱼框架，可轻松测试组织对网络钓鱼的危害</li>
<li><a href="https://github.com/securestate/king-phisher">King Phisher</a> - 通过模拟真实的网络钓鱼攻击来测试和提高用户意识的工具</li>
<li><a href="https://github.com/certsocietegenerale/NotifySecurity">NotifySecurity</a> - Outlook加载项，用于帮助您的用户向安全团队报告可疑电子邮件。</li>
<li><a href="https://github.com/LogRhythm-Labs/PIE">Phishing Intelligence Engine (PIE)</a> - 有助于检测和响应网络钓鱼攻击的框架</li>
<li><a href="https://github.com/certsocietegenerale/swordphish-awareness">Swordphish</a> - 该平台可用于创建和管理（伪造）网络钓鱼活动，目的是训练目标识别可疑邮件的能力</li>
<li><a href="https://github.com/serain/mailspoof">mailspoof</a> - 可用与扫描SPF和DMARC记录来查找可能造成电子邮件欺骗的问题<ul>
<li>补充<ul>
<li>SPF：Sender Policy Framework，发信者策略架构，是为了防范垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，用于登记某个域名拥有的用来外发邮件的所有IP地址</li>
<li>DMARC：Domain-based Message Authentication, Reporting and Conformance，基于基于域的消息认证，报告和一致性。是一套以SPF及DKIM为基础的电子邮件认证机制，可以检测及防止伪冒身份、对付网络钓鱼或垃圾电邮</li>
<li>DKIM：DomainKeys Identified Mail，域名密钥识别邮件。是一套电子邮件认证机制，使用公开密钥加密的基础提供了数字签名与身份验证的功能，以检测寄件者、主旨、内文、附件等部分有否被伪冒或窜改。</li>
</ul>
</li>
</ul>
</li>
<li><a href="https://github.com/x0rz/phishing_catcher">phishing_catcher</a> - 使用<a href="https://certstream.calidog.io/">CertStream</a>服务在证书透明日志(CTL)中通过域名监视可疑TLS证书的可配置脚本</li>
</ul>
<h2 id="_20">攻防演练</h2>
<p>Preparedness training and wargaming，备战训练及演习。也同样被称为<em>adversary emulation</em>和<em>threat simulation</em>之类。此处使用大陆地区较为常见的说法：攻防演练。</p>
<ul>
<li><a href="https://github.com/NextronSystems/APTSimulator">APTSimulator</a> - 可以使系统看起来像APT攻击受害者的工具集</li>
<li><a href="https://atomicredteam.io/">Atomic Red Team</a> - 一个简单，可自动执行的测试库，可以执行这些测试来测试安全性控件</li>
<li><a href="https://github.com/TryCatchHCF/DumpsterFire">DumpsterFire</a> - 一个模块化，菜单驱动的跨平台工具，可用于为蓝队演练和传感器/警报映射构建可重复的、延迟的、分布式的安全事件</li>
<li><a href="https://github.com/uber-common/metta">Metta</a> - 自动化的信息安全防范工具，可以进行对抗性模拟</li>
<li><a href="https://github.com/alphasoc/flightsim">Network Flight Simulator (<code>flightsim</code>)</a> - 用于生成恶意网络流量，可帮助安全团队评估安全控制以及审核他们网络的可见性</li>
<li><a href="https://github.com/redhuntlabs/RedHunt-OS">RedHunt OS</a> - 基于Ubuntu的开放式虚拟设备（<code>.ova</code>），预配置了多个威胁仿真工具以及防守方的工具包</li>
</ul>
<hr />
<ul>
<li><a href="https://github.com/mitre/caldera">Caldera</a> - 一个基于<a href="https://attack.mitre.org/">MITER ATT＆CK™框架</a>构建的安全框架，可以用来进行违规与模拟训练，也可以用于红队作战和自动化的事件响应</li>
<li><a href="https://github.com/byt3bl33d3r/CrackMapExec">CrackMapExec</a>，一个后利用工具，常用于红队，但蓝队可用来评估账户权限，发现可能的配置错误并且模拟攻击</li>
<li><a href="https://github.com/adrecon/ADRecon">ADRecon</a></li>
</ul>
<h2 id="_21">安全监控</h2>
<h3 id="edr">端点防护及响应（EDR）</h3>
<p>Endpoint Detection and Response , EDR</p>
<ul>
<li><a href="https://wazuh.com/">Wazuh</a> - 开源的、基于多平台代理的安全监视平台。基于<a href="https://github.com/ossec/ossec-hids">OSSEC HIDS</a>分支开发</li>
</ul>
<h3 id="nsm">网络安全监控（NSM）</h3>
<p>Network Security Monitoring (NSM)</p>
<p>另请参阅：<a href="https://github.com/caesar0301/awesome-pcaptools">awesome-pcaptools</a>.</p>
<ul>
<li><a href="https://github.com/MITRECND/chopshop">ChopShop</a> - 一个MITER开发的框架，可帮助分析人员创建和执行基于APT工具及Pynids的解码器和检测器</li>
<li><a href="https://github.com/stamparm/maltrail">Maltrail</a> - 一个恶意网络流量检测系统</li>
<li><a href="https://github.com/aol/moloch">Moloch</a> - 可扩展当前的安全基础架构，以标准的PCAP格式存储和索引网络流量，从而实现快速的索引访问</li>
<li><a href="https://www.owlh.net/">OwlH</a> - 可通过可视化Suricata，Zeek和Moloch生命周期来帮助大规模管理网络IDS<ul>
<li>OwlH开源项目地址：https://github.com/owlh-net</li>
<li>补充<ul>
<li>Suricata：一款开源高性能的入侵检测系统，并支持IPS（入侵防御）与NSM（网络安全监控）模式，用来替代原有的<a href="https://www.snort.org/">snort</a>入侵检测系统，完全兼容Snort规则语法和支持lua脚本[7]</li>
<li>Zeek：是一款开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动，Zeek 脚本可以实现灵活的分析功能，可是实现多种协议的简易分析</li>
<li>Moloch：是一款开源的大型 IPv4 抓包（PCAP），检索和数据库系统。Moloch  并不能替代 IDS 引擎，相反它们指尖相辅相成可以一起使用，可以 PCAP  格式将保存和检索所有网络流量，提供快速访问。可在多个系统上部署，可进行扩展以应对多种网速传输。[8]</li>
</ul>
</li>
</ul>
</li>
<li><a href="https://github.com/codeexpress/respounder">Respounder</a> - 可检测网络上是否存在使用<a href="https://github.com/SpiderLabs/Responder">Responder</a>来进行LLMNR / NBT-NS / mDNS投毒的情况<ul>
<li>补充<ul>
<li>LLMNR：The Link Local Multicast Name Resolution， 本地链路多播名称解析，是一个基于协议的域名系统（DNS）数据包格式的网际协议，该协议允许IPv4和IPv6主机对同一本地链路上的主机来执行名称解析</li>
<li>NBT-NS：与LLMNR一样，也是Microsoft Windows的一个系统组件</li>
<li>mDNS：在计算机网络中， 多播DNS(the multicast DNS)协议将主机名解析为不包含本地名称服务器的小型网络中的IP地址</li>
</ul>
</li>
<li>实际操作：https://www.anquanke.com/post/id/85503</li>
</ul>
</li>
<li><a href="https://github.com/activecm/rita">Real Intelligence Threat Analysis (RITA)</a> - 是一套用于网络流量分析的开源框架，可吸收Zeek日志并检测信标，DNS隧道等</li>
<li><a href="https://snort.org/">Snort</a> - 广泛部署的免费IPS软件，能够进行实时数据包分析，流量记录和基于规则的自定义触发器</li>
<li><a href="https://github.com/NetSPI/SpoofSpotter">SpoofSpotter</a> - 捕获被欺骗的NetBIOS名称服务（NBNS）响应，并发出电子邮件或日志文件形式的警告<ul>
<li>补充<ul>
<li>NBNS：Network Basic Input/Output System, ,网上基本输入输出系统。提供了OSI模型中会话层服务，让在不同计算机上运行的不同程序，可以在局域网中，互相连线，以及分享数据</li>
</ul>
</li>
</ul>
</li>
<li><a href="https://github.com/google/stenographer">Stenographer</a> - 可进行全包捕获的实用程序，用于将数据包缓冲到磁盘以进行入侵检测和事件响应</li>
<li><a href="https://suricata-ids.org/">Suricata</a> - 一个免费的，跨平台的IDS / IPS，具有在线和离线分析模式以及深度数据包检查功能，该功能也可以通过Lua语言编写</li>
<li><a href="https://github.com/tenzir/vast">VAST</a> - 一个用于数据驱动的安全调查的免费开源网络遥测引擎</li>
<li><a href="https://www.wireshark.org">Wireshark</a> - 一个免费、开源的数据包分析器，广泛使用，具有较好的GUI，可用于网络故障排除或数字取证方面的网络流分析</li>
<li><a href="https://zeek.org/">Zeek</a> - 一个强大的网络分析框架，专注于安全监控，以前称为Bro</li>
<li><a href="http://netsniff-ng.org/">netsniff-ng</a> - 具有许多实用程序的便捷GNU / Linux网络工具包，例如连接跟踪工具（<code>flowtop</code>），流量生成器（<code>trafgen</code>）和自治系统（AS）跟踪路由实用程序（<code>astraceroute</code>）</li>
</ul>
<h3 id="siem">安全信息和事件管理（SIEM）</h3>
<p>Security Information and Event Management (SIEM)
- <a href="https://www.alienvault.com/open-threat-exchange/projects">AlienVault OSSIM</a> - 一个威胁交换（OTX）驱动的单服务器开源SIEM平台，具有资产发现，资产清单，行为监控和事件关联功能。由<a href="https://otx.alienvault.com/">AlienVault</a>开发
- <a href="https://www.prelude-siem.org/">Prelude SIEM OSS</a> - 一个开放源码的、无代理的SIEM，有较长的历史和几个商业变体。具有安全事件收集、规范化和从任意日志输入发出警报以及许多流行的监视工具</p>
<h3 id="_22">服务和性能监控</h3>
<p>Service and performance monitoring</p>
<p>另请参阅：<a href="https://github.com/n1trux/awesome-sysadmin#monitoring">awesome-sysadmin#monitoring</a>.</p>
<ul>
<li><a href="https://icinga.com/">Icinga</a> - 基于Nagios的模块化重新设计，带有可插拔的用户界面以及一组扩展出的数据连接器，收集器和报告工具</li>
<li><a href="https://locust.io/">Locust</a> - 一个分布式开源负载测试工具，可以在其中使用Python代码定义用户行为，并让数百万用户同时进行支持</li>
<li><a href="https://nagios.org">Nagios</a> - 一个流行的网络和服务监视解决方案和报告平台</li>
<li><a href="https://opennms.org/">OpenNMS</a> - 一个免费且功能丰富的网络监视系统，支持多种配置，多种警报机制（电子邮件，XMPP，SMS）以及多种数据收集方法（SNMP，HTTP，JDBC等）。</li>
<li><a href="https://github.com/facebook/osquery">osquery</a> - 一个适用于macOS、Windows和Linux的操作系统插装框架，其将操作系统公开为高性能关系数据库，可以使用类似sql的语法进行查询</li>
<li><a href="https://www.zabbix.com/">Zabbix</a> - 一个成熟的企业级平台，用于监视大规模IT环境。</li>
</ul>
<h3 id="_23">威胁狩猎</h3>
<p>Threat hunting，也被称为<em>hunt teaming</em>和<em>threat detection</em>。</p>
<p>另请参阅：<a href="https://github.com/0x4D31/awesome-threat-detection">awesome-threat-detection</a>.</p>
<ul>
<li><a href="https://github.com/PowerShellMafia/CimSweep">CimSweep</a> - 基于CIM / WMI的工具套件，可在所有Windows版本中进行远程事件响应和<a href="https://github.com/PowerShellMafia/CimSweep">Hunting</a>操作</li>
<li><a href="https://github.com/sans-blue-team/DeepBlueCLI">DeepBlueCLI</a> - 用于通过Windows事件日志进行寻线分组的PowerShell模块</li>
<li><a href="https://github.com/google/grr">GRR Rapid Response</a> - 一个专注于远程实时取证的事件响应框架，该组件由安装在资产上的Python代理和基于Python的服务器组成基础结构，使分析师能够快速分类攻击并进行远程分析</li>
<li><a href="https://github.com/Cyb3rWard0g/HELK">Hunting ELK (HELK)</a> - 基于Elasticsearch，Logstash，Kafka和Kibana的多合一免费软件威胁狩猎套件，并具有包括Jupyter Notebook在内的各种内置集成分析功能</li>
<li><a href="https://github.com/mozilla/MozDef">MozDef</a> - 用于自动执行安全事件处理流程，并促进事件处理程序的实时活动</li>
<li><a href="https://github.com/Infocyte/PSHunt">PSHunt</a> - 一个PowerShell模块，设计用于扫描远程端点以发现威胁的痕迹，或用于调查，获取与系统状态有关的更多信息</li>
<li><a href="https://github.com/gfoss/PSRecon">PSRecon</a> - 一个类似PSHunt的工具，可用于分析远程的Windows系统，该工具还会生成其发现信息的独立HTML报告</li>
<li><a href="https://github.com/Invoke-IR/PowerForensics">PowerForensics</a> - 基于PowerShell，用于实时硬盘取证分析的多合一平台</li>
<li><a href="https://github.com/rastrea2r/rastrea2r">rastrea2r</a> - 一个用于同时在众多端点上对可疑IOC进行分类，并与防病毒控制台集成的跨平台工具</li>
<li><a href="https://www.fireeye.com/services/freeware/redline.html">Redline</a> - <a href="https://www.fireeye.com/">FireEye</a>公司的提供的免费端点审计和分析工具，提供基于主机的调查功能</li>
</ul>
<h2 id="_24">威胁情报</h2>
<p>Threat intelligence</p>
<p>另请参阅：<a href="https://github.com/hslatman/awesome-threat-intelligence">awesome-threat-intelligence</a>.</p>
<ul>
<li><a href="https://github.com/ANSSI-FR/AD-control-paths">Active Directory Control Paths</a> - 可视化Active Directory权限配置并对其进行图形化处理，用来审核诸如“谁可以阅读CEO的电子邮件？”之类的问题</li>
<li><a href="https://attackerkb.com/">AttackerKB</a> - 免费公开的漏洞评估平台，可帮助确定高风险补丁程序的优先级来消除漏洞疲劳<ul>
<li>补：漏洞疲劳（vulnerability fatigue）指系统每天都会发现越来越多的漏洞，因此内部团队很难迅速提供纠正补丁。而黑客就会利用这段时间来分析信息系统，发现漏洞并发起成功的攻击。[9]</li>
</ul>
</li>
<li><a href="https://github.com/hadojae/DATA">DATA</a> - 用于网络钓鱼凭据分析和自动化的工具，可以直接接收可疑网络钓鱼URL，或在观察到的包含此类URL的网络流量时触发</li>
<li><a href="https://github.com/opensourcesec/Forager">Forager</a> - 使用Python3构建的多线程威胁情报收集工具。基于文本进行了简单配置和数据存储，以简化使用和数据可移植性。</li>
<li><a href="https://github.com/nsacyber/GRASSMARLIN">GRASSMARLIN</a> - 该工具通过被动映射，计算和报告ICS / SCADA网络拓扑和端点，提供IP网络对工业控制系统（ICS）以及监督控制和数据采集（SCADA）的态势感知</li>
<li><a href="https://github.com/mlsecproject/combine">MLSec Combine</a> - 该工具收集并组合多个威胁情报源，并将其组合成一种可定制的，基于CSV的标准化格式</li>
<li><a href="https://misp-project.org/">Malware Information Sharing Platform and Threat Sharing (MISP)</a> - 一种用于收集，存储，分发和共享网络安全指标的开源软件解决方案</li>
<li><a href="https://github.com/InQuest/ThreatIngestor">ThreatIngestor</a> - 可扩展工具，用于从威胁源（包括Twitter，RSS或其他源）提取和聚合IOC</li>
<li><a href="https://nsacyber.github.io/unfetter/">Unfetter</a> - 该工具利用Mitre的ATT&amp;CK框架来识别安全态势中的防御性漏洞</li>
<li><a href="https://github.com/viper-framework/viper">Viper</a> - 二进制分析和管理框架，可轻松组织恶意软件和利用样本</li>
</ul>
<h2 id="tor-onion">Tor Onion服务防护</h2>
<p>Tor Onion service defenses</p>
<p>另请参阅：<a href="https://github.com/ajvb/awesome-tor">awesome-tor</a>.</p>
<ul>
<li><a href="https://onionbalance.readthedocs.io/">OnionBalance</a> - 该工具用于提供Tor网络代理的负载平衡，同时通过消除单个故障点使Onion服务更具弹性和可靠性</li>
<li><a href="https://github.com/mikeperry-tor/vanguards">Vanguards</a> - 用于在Onion 3版本防护并发现攻击缓解脚本（打算最终包含在Tor核心中）</li>
</ul>
<h2 id="_25">传输层防护</h2>
<p>Transport-layer defenses</p>
<ul>
<li><a href="https://certbot.eff.org/">Certbot</a> - 免费工具，用于通过配置各种Web和电子邮件服务器软件的插件，来自动从<a href="https://letsencrypt.org/">LetsEncrypt Root CA</a>发行和更新TLS证书。</li>
<li><a href="https://github.com/cloudflare/mitmengine">MITMEngine</a> - 一个Golang库，用于在服务器端检测TLS拦截事件</li>
<li><a href="https://openvpn.net/">OpenVPN</a> - 一个开源的、基于SSL / TLS的虚拟专用网络（VPN）</li>
<li><a href="https://torproject.org/">Tor</a> - 一个用于规避审查制度的匿名覆盖网络，提供分布式的，经过密码验证的域名服务（<code>.onion</code>域），用以增强发布者的隐私和服务可用性</li>
</ul>
<h2 id="macos">基于macOS的防护</h2>
<p>macOS-based defenses</p>
<ul>
<li><a href="https://objective-see.com/products/blockblock.html">BlockBlock</a> - 该工具可用监视常见的持久性位置，并在添加持久性组件时发出警报，这有助于检测和阻止恶意软件的安装</li>
<li><a href="https://objective-see.com/products/lulu.html">LuLu</a> - 免费的macOS防火墙</li>
<li><a href="https://github.com/google/santa">Santa</a> - 适用于macOS的二进制白名单/黑名单系统</li>
<li><a href="https://github.com/alichtman/stronghold">Stronghold</a> - 用于在终端轻松配置macOS安全设置</li>
<li><a href="https://github.com/essandess/macOS-Fortress">macOS Fortress</a> - 提供内核级、操作系统级和客户端级安全功能的自动配置，包括私有化代理和macOS的防病毒扫描。</li>
</ul>
<h2 id="windows">基于Windows的防护</h2>
<p>Windows-based defenses</p>
<p>另请参阅：<a href="https://github.com/Awesome-Windows/Awesome#security">awesome-windows#security</a>和<a href="https://github.com/PaulSec/awesome-windows-domain-hardening">awesome-windows-domain-hardening</a>。</p>
<ul>
<li><a href="https://github.com/securitywithoutborders/hardentools">HardenTools</a> - 一个可用于禁用许多危险的Windows功能的实用程序</li>
<li><a href="https://github.com/sensepost/notruler">NotRuler</a> - 用于侦测尝试破坏Microsoft Exchange服务器的行为，并同时检测由<a href="https://github.com/sensepost/ruler">Ruler</a>攻击工具使用的客户端规则和启用VBScript的表单</li>
<li><a href="https://www.sandboxie.com/">Sandboxie</a> - 一个免费并且开放源代码的通用Windows应用程序沙箱工具</li>
<li><a href="https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck">Sigcheck</a> - 该工具可根据Microsoft的<a href="https://docs.microsoft.com/en-us/windows/desktop/SecCrypto/certificate-trust-list-overview">证书信任列表（CTL）</a>审核Windows主机的根证书存储</li>
<li><a href="https://github.com/linuz/Sticky-Keys-Slayer">Sticky Keys Slayer</a> - 该工具用于从主机名列表建立Windows RDP会话，并扫描可访问性工具后门，并在发现后门时发出警报</li>
<li><a href="https://github.com/nsacyber/Windows-Secure-Host-Baseline">Windows Secure Host Baseline</a> - 一种组策略对象，合规性检查和配置工具，提供了一种自动且灵活的方法来安全地部署和维护Windows 10的最新版本</li>
<li><a href="https://github.com/realparisi/WMI_Monitor">WMI Monitor</a> - 该工具可将新创建的WMI使用者和进程记录到Windows应用程序事件日志中</li>
</ul>
<h2 id="license">License</h2>
<p>This work is licensed under a <a href="https://creativecommons.org/licenses/by/4.0/">Creative Commons Attribution 4.0 International License</a>.</p>
<p>本项工作在<a href="https://creativecommons.org/licenses/by/4.0/">知识共享（CC协议4.0）下</a>进行。</p>
<h2 id="references">References</h2>
<p>[1] Terraform：简介，sparkdev，https://www.cnblogs.com/sparkdev/p/10052310.html</p>
<p>[2] Internet 安全中心 (CIS) 基准, <a href="https://github.com/robmazz">Robert Mazzoli</a>，https://docs.microsoft.com/zh-cn/microsoft-365/compliance/offering-cis-benchmark?view=o365-worldwide</p>
<p>[3] 网络蜜罐系统是什么?, 课课家教育 , http://www.kokojia.com/article/24017.html</p>
<p>[4] HowTo: Set a Warning Message (Banner) in SSH, <a href="https://www.shellhacks.com/author/admin/">admin</a>, https://www.shellhacks.com/setup-warning-message-banner-ssh/</p>
<p>[5] 36氪首发 | 聚焦零信任安全，「虎符网络」完成近千万元天使轮融资, <a href="https://36kr.com/user/11868707">真梓</a> , https://36kr.com/p/771205828523273</p>
<p>[6] Fwknop：单包授权与端口试探工具, <a href="https://cloud.tencent.com/developer/user/2638143">周俊辉</a>, https://cloud.tencent.com/developer/article/1578194</p>
<p>[7] Suricata IDS 入门 — 规则详解,  <a href="https://www.secpulse.com/newpage/author?author_id=6767">al0ne</a> , https://www.secpulse.com/archives/71603.html</p>
<p>[8] 渗透测试：数十款重要工具介绍,  <a href="https://www.secrss.com/articles?author=E安全">E安全</a>,  https://www.secrss.com/articles/2409</p>
<p>[9] Vulnerability fatigue – why you need to get on top of patch management, https://orangecyberdefense.com/global/blog/threat/vulnerability-fatigue-why-you-need-to-get-on-top-of-patch-management/</p>
                
                  
                
              
              
                


              
            </article>
          </div>
        </div>
      </main>
      
        
<footer class="md-footer">
  
    <div class="md-footer-nav">
      <nav class="md-footer-nav__inner md-grid" aria-label="Footer">
        
          <a href=".." title="index" class="md-footer-nav__link md-footer-nav__link--prev" rel="prev">
            <div class="md-footer-nav__button md-icon">
              <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M20 11v2H8l5.5 5.5-1.42 1.42L4.16 12l7.92-7.92L13.5 5.5 8 11h12z"/></svg>
            </div>
            <div class="md-footer-nav__title">
              <div class="md-ellipsis">
                <span class="md-footer-nav__direction">
                  上一页
                </span>
                index
              </div>
            </div>
          </a>
        
        
          <a href="../0x2_threat_hunting/" title="🏹️ 威胁狩猎大合集" class="md-footer-nav__link md-footer-nav__link--next" rel="next">
            <div class="md-footer-nav__title">
              <div class="md-ellipsis">
                <span class="md-footer-nav__direction">
                  下一页
                </span>
                🏹️ 威胁狩猎大合集
              </div>
            </div>
            <div class="md-footer-nav__button md-icon">
              <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24"><path d="M4 11v2h12l-5.5 5.5 1.42 1.42L19.84 12l-7.92-7.92L10.5 5.5 16 11H4z"/></svg>
            </div>
          </a>
        
      </nav>
    </div>
  
  <div class="md-footer-meta md-typeset">
    <div class="md-footer-meta__inner md-grid">
      <div class="md-footer-copyright">
        
        Made with
        <a href="https://squidfunk.github.io/mkdocs-material/" target="_blank" rel="noopener">
          Material for MkDocs
        </a>
      </div>
      
    </div>
  </div>
</footer>
      
    </div>
    
      <script src="../assets/javascripts/vendor.92ffa368.min.js"></script>
      <script src="../assets/javascripts/bundle.5123e3d4.min.js"></script><script id="__lang" type="application/json">{"clipboard.copy": "\u590d\u5236", "clipboard.copied": "\u5df2\u590d\u5236", "search.config.lang": "ja", "search.config.pipeline": "trimmer, stemmer", "search.config.separator": "[\\uff0c\\u3002]+", "search.result.placeholder": "\u952e\u5165\u4ee5\u5f00\u59cb\u641c\u7d22", "search.result.none": "\u6ca1\u6709\u627e\u5230\u7b26\u5408\u6761\u4ef6\u7684\u7ed3\u679c", "search.result.one": "\u627e\u5230 1 \u4e2a\u7b26\u5408\u6761\u4ef6\u7684\u7ed3\u679c", "search.result.other": "# \u4e2a\u7b26\u5408\u6761\u4ef6\u7684\u7ed3\u679c"}</script>
      
      <script>
        app = initialize({
          base: "..",
          features: [],
          search: Object.assign({
            worker: "../assets/javascripts/worker/search.a68abb33.min.js"
          }, typeof search !== "undefined" && search)
        })
      </script>
      
    
  </body>
</html>